Krack: WPA2-Lücke betrifft keine AVM FRITZ!Box, wohl aber Repeater

Die Geschichte rund um die WLAN-Sicherheitslücke „Krack“ haben sicherlich alle mitbekommen. Die Schwachstellen liegen im WPA2-Protokoll und Angreifer könnten theoretisch geschützte Inhalte mitlesen. Mittlerweile hat sich auch AVM noch einmal mit Informationen zu Wort gemeldet. Denn die dürften als einer der bekannteren Hersteller mit vielen Geräten in deutschen Haushalten sicherlich bei einigen Geräten nachpatchen müssen (wie andere Hersteller natürlich auch). 

Laut AVM sind FRITZ!Boxen nicht von der WPA2-Sicherheitslücke betroffen, da man hier nicht auf  die Norm 802.11r setzt. Laut eigenen Aussagen hat AVM erst am 16. Oktober Kenntnis erlangt. Man wird für WLAN-Repeater Updates folgen lassen, hierfür sind aber erst einmal Tests und Untersuchungen vonnöten.

[color-box color=„blue“ rounded=“1″]

Das ist Krack / AVM-Beschreibung: Um die WLAN-Kommunikation zwischen einem unsicheren Klienten (Laptop, Smartphone, TV mit WLAN) und einem Access Point anzugreifen sind umfangreiche Voraussetzungen notwendig. Ein Angreifer muss dazu in unmittelbarer physischer Nähe des Klienten sein. Und er muss sich in Form einer Man-in-the-Middle-Attacke zwischen Klient und Access Point setzen. Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet. Dazu müsste der Angreifer näher am Klienten sein als der Access Point. Je nach Ausführung des Klienten können nach aktueller Einschätzung nur die Sendedaten des Klienten mitgelesen werden.

[/color-box]

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

26 Kommentare

  1. Und was ist mit den vielen älteren Fritzboxen, die noch als Repeater im Haus eingesetzt werden? Gelten hier ebenfalls die Standardprotokolle, die nicht betroffen sein sollen, oder kommen auch hier spezielle Roaming-Protokolle wie das 802.11r zum Einsatz???

  2. Mr.Magoo: man muss nicht dichter sein, sondern am Client besser empfangbar sein. Dies lässt sich auch über gerichtete Antennen und/oder über eine höhere Sendeleistung bewerkstelligen. Auch aus großer Distanz.

  3. Einfach VPN nutzen, wie man es auch tun sollte, wenn man in einem öffentlichen WLAN unterwegs ist und die Gefahr ist gebannt. Der Haken dabei ist allerdings, das es gute und schnelle VPN Dienste nicht umsonst gibt.

  4. @ZLemma:
    So, dann zeig mir doch mal, wie z.B. der heimische Drucker, die Repeater, die Spiele-Console, der TV, der Kühlschrank, die Waschmaschine etc. eine VPN-Verbindungen aufbaut.

  5. Was bedeutet denn der Satz: „Eine Voraussetzung für diesen schwer auszuführenden Angriff ist, dass der Klient sich freiwillig ummeldet.“
    Von wo nach wo meldet sich der Klient um? Ist das einloggen ins Wlan gemeint?

    Unser Chef hat das Wlan aufgrund dieses Vorfalls ausgeschaltet und das nervt natürlich alle Kollegen. Ich brauch Argumente und Strategien um ihm seine Angst zu nehmen.
    Wir haben momentan einen alten Netgear-Router.
    Würde es was bringen, wenn man da ne fritzbox noch mit ranhängt die dann nur wlan verbreitet?

    Weitherhin heißt es ja auch, dass Klient-Geräte auch zu der Lücke beitragen. Also müsste jedes Smartphone, jeder Chromecast etc. pp. einen offiziellen Patch erhalten?

    Ja, ich bin Laie auf dem Gebiet Netzwerktechnik. Bitte nicht schimpfen.

    Danke für Tipps und Erklärungen

  6. @Martin F.:
    Die Vorsichtsmaßnahme Deines Chefs ist nur konsequent, ohne jetzt zu wissen, was ihr für wichtige Daten hin- und herschaufelt.

    Um mal bei den wesentlichen Fakten zu bleiben:
    Es betrifft zu 99,9% alle Clients (PC, Smartphone, Drucker, TV, Spielekonsole, …) und in der Regel nicht den AccessPoints, also den Router. Siehe auch:

    http://stadt-bremerhaven.de/krack-wpa2-luecke-betrifft-keine-avm-fritzbox-wohl-aber-repeater/#comment-811779

    Es betrifft nur dann den Router/AccessPoint, wenn er als Repeater in einem WDS-Verbund arbeitet oder aber wenn er das Protokoll 802.11r+s unterstützt (was 99% der Router schon mal nicht manchen in Deutschland).

    Der Angriff funktioniert auch nur dann, und das ist vermutlich das, was mit deinem zitierten Satz gemeint ist, wenn der Client sich versucht an einem AccessPoint anzumelden. Und auch dann muss der Angreifer guter Nähe zu dem AccessPoint stehen oder mit Richtantennen arbeiten, um hier eingreifen zu können. Wie hoch die Wahrscheinlichkeit für solch einen Angriff ist, musst Du für Dich selber bewerten. Ich meinem Umfeld halte ich es für schwer realisierbar, zumal der Angreifer auch das notwendige Equipment und Know-how haben muss. Klar brechen immer mal WLAN-Verbindungen ab und bei der Neuanmeldung wäre dann die Möglichkeit zum Angriff. Also, aus dem Internet heraus kann er Euch nicht angreifen, er muss sich in der Nähe des AccessPoints/Routers befinden.

    Damit hat er ggf. erst einmal deine Verbindung „umgeleitet“, wenn Du jetzt aber https als Protokoll eingesetzt hast (z.B. beim Surfen, Datenbankabfragen, etc) kann der Angreifer nichts auslesen, denn das ist separat verschlüsselt.

    Also, Aufgabe Eures Chefs und Euch muss sein, *ALLE* Clients upzudaten! Und das ist momentan nicht leicht, denn für viele Geräte im WLAN gibt es noch keine Updates und im schlimmsten Fall wird es sie auch nicht geben!

    Ach, und um das nochmal klar zu sagen: Der Angreifer ist *NICHT* in der Lage Euer WPA2-Passwort auszulesen. Ihr müßt das nicht ändern.

    Das mal nur ganz vereinfacht dargestellt….

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.